23log

WOWHoneypotで観測した日々のログをつらつらと

WOWHoneypot観察(8日目)

2019/03/24(日)

トータル979件でした。

件数 概要 リクエス
681 Tomcat管理ページへ対するブルートフォース攻撃 GET /manager/html
76 WordPressに対するブルートフォース攻撃 GET /wp-login.php
75 WordPressに対するブルートフォース攻撃 POST /wp-login.php
74 WordPress の Pingback を狙った通信 POST /xmlrpc.php
37 アクセス GET /
2 phpMyAdminの調査 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
2 Linksysのルーターを狙った通信 GET /HNAP1/
2 三者中継攻撃 CONNECT webcam02[.]dynv6[.]net:80
2 三者中継攻撃 CONNECT 133.130.126[.]119:43
1 Nmapによる調査 POST /sdk
1 三者中継攻撃 GET http[:]//www[.]baidu[.]com/?rands=_55634424010243472750300
1 三者中継攻撃 GET http[:]//web1[.]crabdance[.]com/myiphd.php?rnd=62aaf210d03909fe68de7d2943681f37&rn=962105049
1 三者中継攻撃 GET http[:]//proxycrot[.]me/AZU.php
1 三者中継攻撃 GET http[:]//l[.]webcam02[.]dynv6[.]net/myiphd.php?rnd=8dcf6086954eaa83b22f9eb7f8a8e5fb&rn=912124795
1 三者中継攻撃 GET http[:]//157.52.156[.]49:42788/vs.php?rands=_63152530241888921737564
1 三者中継攻撃 GET http[:]//104.148.42[.]211:42788/gvs.php?rands=_89162844409005402706400
1 Apache Strtus 2 の脆弱性(S2-045)を狙った通信 GET /struts2-rest-showcase/orders.xhtml
1 phpMyAdminの調査 GET /pma/scripts/setup.php
1 phpMyAdminの調査 GET /phpmyadmin/scripts/setup.php
1 phpMyAdminの調査 GET /phpmyadmin/scripts/db___.init.php
1 phpMyAdminの調査 GET /phpMyAdmin/scripts/setup.php
1 phpMyAdminの調査 GET /phpMyAdmin/scripts/db___.init.php
1 Nmapを用いたスキャン GET /nmaplowercheck1553378512
1 phpMyAdminの調査 GET /myadmin/scripts/setup.php
1 Apache Strtus 2 の脆弱性(S2-045)を狙った通信 GET /index.do
1 Apache Strtus 2 の脆弱性(S2-045)を狙った通信 GET /index.action
1 Nmapを用いたスキャン GET /NmapUpperCheck1553378512
1 Nmapを用いたスキャン GET /Nmap/folder/check1553378512
1 phpMyAdminの調査 GET /MyAdmin/scripts/setup.php
1 Linksysのルーターを狙った通信 GET /HNAP1
1 XDEBUGリモートコードの脆弱性を狙った通信 GET /?XDEBUG_SESSION_START=phpstorm
1 WordPressREST APIを狙った通信(CVE-2017-5487) GET ///wp-json/wp/v2/users/
1 WordPressREST APIを狙った通信(CVE-2017-5487) GET ///?author=1
1 三者中継攻撃 CONNECT www[.]freeproxies[.]gq:80
1 三者中継攻撃 CONNECT www[.]freeproxies[.]ga:80
1 三者中継攻撃 CONNECT web1[.]strangled[.]net:80
1 三者中継攻撃 CONNECT l[.]webcam02[.]dynv6[.]net:80

WordPress関連の通信が多い日でした。
通信元は特定のIPからではなく、様々な国から来ていました。

参考URL

調査にあたり参考にさせていただきました。ありがとうございます。

WOWHoneypot簡易分析(17日目) - S-Owl
WordPress の Pingback 対策 at www.morihi-soc.net